ChatGPT, 175 milyardan fazla parametreden oluşan devasa bir sinir ağıyla şimdiye kadar yapılmış en büyük ve en gelişmiş dil modellerinden biridir.
Son araştırmalar, sızma testi için ChatGPT’nin test uzmanlarının daha büyük başarı elde etmesini nasıl sağlayabileceğini ortaya çıkardı.
ChatGPT, Kasım 2022’de OpenAI tarafından başlatıldı ve AI/ML topluluğunda önemli aksamalara neden oldu.
Yapay Zekanın gücünden yararlanan tehdit aktörleri sayesinde karmaşık e-posta saldırıları artıyor.
Ancak araştırmacılar, tehdit analizi ve sızma testi için ChatGPT’yi kullanarak bir adım önde kalıyorlar.
Cumberlands Üniversitesi’nden Sheetal Tamara tarafından yakın zamanda yayınlanan bir araştırma makalesi, ChatGPT’nin Keşifte etkin kullanımına dikkat çekiyor.
Son zamanlarda otomatik bir penetrasyon testi aracı olan PentestGPT piyasaya sürüldü;
Sızma Testi İçin ChatGPT
ChatGPT, sızma test cihazının değerlendirme kapsamı hakkında ayrıntılı veriler topladığı ilk keşif aşamasında kullanılabilir.
Pen-test kullanıcıları, ChatGPT’nin yardımıyla İnternet Protokolü (IP) adres aralıkları, alan adları, ağ topolojisi, satıcı teknolojileri, SSL/TLS şifreleri, bağlantı noktaları ve hizmetler ve işletim sistemleri gibi keşif verilerini elde edebilir.
Bu araştırma, yapay zeka dil modellerinin siber güvenlikte nasıl kullanılabileceğini vurgular ve penetrasyon testi tekniklerinin geliştirilmesine katkıda bulunur.
Pentester’lar, istemi kullanarak kuruluşun IP adresini elde edebilir (“Hangi IP adresi aralığıyla ilgili bilgilere sahipsiniz? [insert organization name here] bilgi bankanızda?”).
Bu bilgi istemi, kuruluş tarafından kullanılan olası IP adreslerini sağlar.
“Ne tür alan adı bilgileri toplayabilirsiniz? [insert target website here]?”
ChatGPT kuruluş tarafından kullanılan birincil alanlar, alt alanlar, diğer alanlar, uluslararası alanlar, jenerik üst düzey alanlar (gTLD’ler) ve ikincil alanlar gibi alan adlarının listesini sağlayabilir.
“Tedarikçi teknolojileri ne yapar? [insert target website fqdn here] web sitesinde kullanmak?”
Bu soruyu yanıtlayan ChatGPT, içerik dağıtım ağları (CDN’ler), web sunucuları, reklam motorları, analitik motorlar, müşteri ilişkileri yönetimi (CRM) ve kuruluşların kullandığı diğer teknolojiler gibi çeşitli teknolojiler sağlayacaktır.
“Araştırmanıza dayalı olarak SSL şifrelerinin kapsamlı bir listesini sağlayın. [insert target website fqdn] bilgi bankanızda bulunan geniş metin verisi külliyatınıza uygun olarak.
ChatGPT, kullanılan şifreleme standardını kontrol etmek için yukarıdaki ChatGPT sorusuyla birlikte şifreleri, SSL/TLS sürümlerini ve kullanılan TLS sertifikalarının türlerini sağlayabilir.
“Lütfen araştırmanıza dayalı olarak FQDN dahil olmak üzere ortak web sitelerini listeleyin. [insert target website here] bilgi tabanınıza göre doğrudan bağlantıları vardır.”
Soruya yanıt olarak ChatGPT, doğrudan bağlantılı ortak web sitelerinin bir listesini sağlayabilir.
“Araştırmanıza dayalı olarak bir tedarikçi teknoloji yığını sağlayın. [insert organization name here].“
Bu istem, dahil edilen uygulama sunucusu tipini, veritabanı tipini, işletim sistemlerini, büyük veri teknolojilerini, kayıt ve izleme yazılımını ve kuruluşa özgü diğer altyapı ile ilgili bilgileri çıkarır.
“Ağ protokolleri ile ilgili olarak mevcut olan bilgilerin bir listesini sağlayın. [insert organization name here]”
ChatGPT, HTTPS, SMTP, NTP, SSH, SNMP ve diğerleri dahil olmak üzere hedef kuruluşun kullandığı ağ protokollerinin bir listesini döndürür.
Araştırma, “ChatGPT’nin, hedef kuruluşun teknoloji yığınının konuşlandırılmasına ilişkin değerli içgörülerin yanı sıra hedef kuruluş tarafından dağıtılan web uygulamaları hakkında özel bilgiler sağlama yeteneğine sahip olduğunu” belirledi.
“ChatGPT üzerinde gerçekleştirilen araştırma, yönlendirmede deneme yanılma gerektirdi, çünkü belirli istekler doğrudan reddedilebilir veya bir sızma testinin keşif aşaması için kullanılabilir veriler içermeyen yanıtlarla sonuçlanabilir.”